蓝时代
据说,有运营商要推广免密认证。做个简单的解释,免密认证就是当你在手机上登陆微信、支付宝、淘宝、滴滴等等的时候,不用再使用账户名密码了,甚至也不再需要手机短信验证码,只要是使用你自己的手机就可以直接实现。
按照比较正式的解释,免密认证是指依托电信运营商的移动数据网络,采用“通信网关取号”及 SIM 卡识别等技术。用户仅需要允许服务商应用获取本机手机号码,并通过运营商网络上传,即可完成用户身份校验。
这种方式可行吗?从技术上来讲,没有任何问题,电信运营商的拥有这样的能力,否则,我们的通信基本上无法实现,运营商也没有办法向我们准确的收到钱。
但是,如果运营商将这样的业务推广开来,负面效应远远大于可能收获的价值。从全局来看,这是典型的挣钱不要命,更可怕的是,命没有了,钱还没挣来。
一般来说,电信运营商要进行免密认证,用户就必须处于运营商的网络环境下,否则不可能实现,这也就意味着用户在进行认证的时候,需要关闭 WLAN 功能,使用蜂窝数据。如今的网络状态是多样化的,智能终端有不同的操作系统,也有不同的生产厂商,运营商保证用户在特定的网络下进行验证的环境很难实现。
更为重要的是,电信运营商并无法确保登陆安全,其实,世界上也没有一家企业、一个国家可以确保安全。不管是谁,都不要向客户提升无限安全的承诺,更不要将别人家的安全大包大揽。即便电信运营商拥有鉴权的传统能力,但黑客也不会是吃素的,一旦免密认证大行其道,黑产必然蜂拥而至,到时候死掉的就不仅仅是一个业务,而是运营商本身。
我们已经看到,即便是现在,不管是大型的互联网公司如BAT,还是小的APP创业者应用,已经呈现非常明显的趋势,越来越多的互联网应用将自己的安全责任转嫁给电信运营商,电信运营商在丝毫利益得不到的情况下却要承担巨大的安全压力。一旦用户登录安全上出了事,所有的责任都会被推给运营商,运营商真要背这个锅?
从这个角度出发,不管现在验证码是否已经成为短信的主要使用来源,都应该果断的至少是逐渐的退出这个领域。手机返回验证码登陆的方式只应该成为用户忘记密码情况下的一种救济手段,而不应该成为登陆的普通方式,否则,后患无穷。事实上,风险已经变成现实。
用户是都希望简单的。现在很多人已经不再注册账户,更不再记忆密码,已经习惯了使用手机号码和获取短信验证码来登陆各种账户,甚至非常敏感的涉及隐私及大量金钱的账户。这种现象表明看起来是电信运营商的号码更值钱更稳定,但背后的潜在风险正在加大。而且,我们可以预测,这种风险一旦爆发,危机将是空前的,也是电信运营商无法承受的。
涉及安全的事情,并非是越简单越好。有些时候,必要的复杂才能有效的降低风险。把互联网账户的安全建立在一个简单的逻辑之上,只能给黑产提供一劳永逸事半功倍的机会,风险一定会成倍的增加。
互联网公司的安全应该建立在自己的基础之上,应该去自己建设安全的账户管理机制,应该去投入建设自己的安全保障能力,各家不同的安全机制和相对隔离的账户登录制度,才能保证最大限度的互联网世界的基本安全底线。
不管怎么讲,电信运营商都没有必要为了这样的蝇头小利和所谓的用户对便捷性的追求而盲目的发展业务,而是应该督促和驱使互联网公司在安全建设上加大投入力度并自己承担起该负担的责任。
既然做了管道,就老老实实维护好管道,保证水不跑冒滴漏即可,至于管道里流动的水到底符合不符合饮用水标准,那肯定不是管道工能做好的事情。电信运营商冒死为互联网公司做挡箭牌,这不成了真的傻子!
作者 马继华
声明:本文内容和图片仅代表作者观点,不代表蓝时代网立场。蓝时代 » 推广手机APP免密认证,是真傻还是假傻?